需启用“审核登录事件”策略以记录Windows 11本地登录行为,可通过本地安全策略(secpol.msc)、组策略编辑器(gpedit.msc)、Auditpol命令行或事件查看器验证四种方式配置与确认。
如果您希望在Windows 11中记录用户本地登录行为(如交互式登录、远程桌面连接等),需启用“审核登录事件”策略。该策略控制安全日志中是否记录成功或失败的登录尝试,是基础审计能力的关键配置。以下是具体操作步骤:
此方法适用于单机环境,无需域控制器,直接调用本地安全策略管理单元进行配置。
1、按 Win + R 打开运行对话框,输入 secpol.msc 并回车。
2、在左侧导航树中依次展开【本地策略】→【审核策略】。
3、在右侧结果窗格中,双击【审核登录事件】。
4、勾选【成功】和/或【失败】复选框(建议两者均启用),点击【确定】保存设置。
组策略编辑器提供更完整的策略路径支持,且可覆盖本地安全策略未涵盖的登录场景(如网络登录、服务登录等)。
1、按 Win + R 输入 gpedit.msc 并回车(家庭版系统不支持此工具)。
2、导航至【计算机配置】→【Windows 设置】→【安全设置】→【本地策略】→【审核策略】。
3、双击【审核登录事件】,勾选【成功】与【失败】,点击【确定】。
4、为使策略立即生效,以管理员身份打开命令提示符,执行:gpupdate /force。
Auditpol是Windows内置的审核策略管理命令行工具,支持批量配置与脚本化部署,适合运维人员快速验证或批量应用。
1、右键开始菜单,选择【Windows终端(管理员)】或【命令提示符(管理员)】。
2、执行以下命令启用登录事件的全部审核:auditpol /set /category:"Logon" /success:enable /failure:enable。
3、执行 auditpol /get /category:"Logon" 验证当前状态是否显示“Success:Enabled,Failure:Enabled”。
策略启用后,系统将开始记录登录相关事件,需通过事件查看器确认日志写入是否正常。
1、按 Win + X,选择【事件查看器】。
2、依次展开【Windows 日志】→【安全】。
3、在右侧操作面板点击【筛选当前日志】,在“事件ID”框中输入 4624,4625(分别对应登录成功与失败),点击【确定】。
4、若可见对应时间戳的条目,则说明审核策略已生效并正常记录。
以上就是Windows 11如何启用审核策略_Windows 11本地安全策略中配置登录事件审核的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
406
